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© Verfahren zur Authentifizierung eines Systemteils durch ein anderes Systemteil eines 
Informationsubertragungssystems nach dem Challenge-and Response-Prinzip 

(§) Bei einem mit einem Endgerat und einer tragbaren 
Datentrageranordnung gebildeten Jnformationsubertra- 
gungssystem findet eine Authentifizierung eines Systemteils 
durch ein anderes Systemteil nach dem Challenge-and-Re- 
sponse-Prinzip statt. Die tragbare Datentrageranordnung ist 
mit einem Wertespeicher und einer dieser zugeordneten 
Kontrolleinrichtung sowie einem nichtfluchtigen, begrenzba- 
ren Fehlerzahler gebiidet. Bei dem Authentifizierungsverfah- 
ren ist zunachst in der tragbaren Datentrageranordnung eine 
Sperre fur das Durchfuhren von Rechenoperationen einge- 
richtet, die erst durch Verandern des Fehlerzahlerstandes 
aufgehoben werden mud. Von dem Endgerat werden Zu- 
fallsdaten als Challenge-Daten zur tragbaren Datentrageran- 
ordnung ubertragen, nachdem der Fehlerzahlerstand inkre- 
mental verandert wurde und die Sperre aufgehoben worden 
ist. Sowohl im Endgerat als auch in der tragbaren Datentra- 
geranordnung werden aus den Challenge-Daten mit Hilfe 
zumindest eines Algorithmus und geheimer Schlusseldaten 
jeweils Authentifikati on spara meter AP3, AP4 berechnet. Das 
Endgerat ubertragt seine Au the ntifikat ion spara meter AP3 als 
R sponse zur tragbaren Datentrageranordnung, wo sie mit 
den dort berechneten Authentifikationsparametern AP4 ver- 
glichen werden. Bel Obereinstimmung der jeweiligen Au- 
thentifikationspara meter AP3, AP4 wird der Wertespeicher 
wi deraufladbar und/oder der Fehlerzahler rucksetzbar. 
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Beschreibung 

Die Erfindung betrifft ein Verfahren zur Authentifi- 
zierung eines Systemteils durch ein anderes Systemteil 
nach d m Challenge-and- Response- Prinzip bei inem 
mit einem Endgerat und einer tragbaren Datentrager- 
anordnung gebildeten Informationsubertragungssy- 
stem, wobei die tragbare Datentragereinheit mit einem 
Wertespeicher und einer diesem zugeordneten Kon- 
trolleinrichtung gebildet ist 

Ein soiches Verfahren ist aus der alteren europa- 
ischen Anmeldung EP 0 570 924 A2 bekannt Dort ist 
die Anzahl der Authentifikationsversuche durch einen 
Zahler begrenzt Allerdings wird der Zahler nach jedem 
erfolgreichen Authentifikationsversuch zuruckgesetzt, 
so daB bei jeder Verwendung des einen Systemteils, also 
beispielsweise einer Chipkarte, wieder gleichviele neue 
Versuche zur Verfugung stehen. Wie der einzigen Figur 
dieser Schrift zu entnehmen ist, endet das Authentica- 
tions verfahren mit dem Riicksetzen des Zahlers. 

Tragbare Datentrageranordnungen wie beispielswei- 
se Telefonkarten sind mit einem Wertespeicher und ei- 
ner diesem zugeordneten Kontrolieinrichtung gebildet 
Der Wertespeicher ist als nichtfluchtiger Speicher, also 
beispielsweise als EPROM oder EEPROM, ausgefuhrt 
Da solche Datentrageranordnungen einen Geldwert re- 
prasentieren, ist das Risiko gegeben, daB Versuche un- 
ternommen werden, den Wertespeicher zu manipulie- 
ren bzw. solche Datentrageranordnungen beispielswei- 
se mittels eines Mikroprozessors zu simulieren. Zu die- 
sem Zweck konnte der Datenverkehr zwischen einer 
solchen tragbaren Datentrageranordnung und einem 
Endgerat abgehort werden und dann anhand des ermit- 
telten Datenflusses die Datentrageranordnung simuliert 
werden. 

Urn eine Simulation zu verhindern, sind Verfahren 
entwickelt worden, die nach dem sogenannten Challen- 
ge-and-Response-Prinzip arbeiten. Hierbei wird vom 
Endgerat eine Challenge, beispielsweise eine Zufalls- 
zahl, zu der tragbaren Datentrageranordnung ubermit- 
telt AnschlieBend werden sowohl in der tragbaren Da- 
tentrageranordnung als auch im Endgerat diese Zufalls- 
zahl mit einem geheimen Schlussel mittels eines Algo- 
rithmus verschlusselt Daraufhin sendet die tragbare 
Datentragereinheit die verschlusselte Zufallszahl an das 
Endgerat als Response zuruck. Im Endgerat wird diese 
Response mit der im Endgerat verschlusselten Zufalls- 
zahl verglichen. Bei Obereinstimmung wird die tragbare 
Datentrageranordnung als echt erkannt und ein Daten- 
austausch kann stattfinden. Wenn keine Obereinstim- 
mung gegeben ist, findet kein Datenaustausch statt, so 
daB die tragbare Datentrageranordnung nicht simuliert 
werden kann. 

Bekannte Verschlusselungsalgorithmen sind nur dann 
ausreichend sicher, wenn die Rechenleistung in der trag- 
baren Datentrageranordnung und die Wortlange der 
verschlusselten Daten ausreichend groB sind. Fur Tele- 
fonkarten sind die bekannten Algorithrnen wie bei- 
spielsweise der RSA- Algorithmus viel zu auf wendig und 
damit zu teuer. 

Bei einer Telefonkarte werden bei jedem Gesprach 
ein bestimmte Anzahl der im Wertespeicher gespei- 
cherten Werte geloscht Wenn alle Werte geloscht sind, 
wird die Karte normalerweise weggeworfen. Es besteht 
so mit das Bedurfnis, den Wert speicher wieder auflad- 
bar zu gestahen. 

Es gibt heute Telefonkreditkarten, die einen weiteren 
Wertespeicher enthalten, in dem ein bestimmter Kredit 



abgespeichert ist Ist nun der Wertespeicher entwertet, 
so kann er wieder aufgeladen werden, wenn gleichzeitig 
ein entsprechenderTeil des Kredits im weiteren Werte- 
speicher geloscht wird Dieser W^ederaufladevorgang 
5 des Wertespeichers findet jedoch innerhalb der Karte 
statt 

Soil jedoch der Wiederaufladevorgang von auBen ge- 
steuert werden, so mussen entsprechende MaBnahmen 
getroffen werden, um eine miBbrauchliche Wiederaufla- 

io dung sicher unterbinden zu konnen. 

Die Aufgabe der vorliegenden Erfindung ist es somit, 
ein sicheres Verfahren zur Authentifizierung eines Sy- 
stemteils durch ein anderes Systemteil nach dem Chal- 
lenge- and- Response-Prinzip bei einem mit einem End- 
is gerat und einer tragbaren Datentrageranordnung gebil- 
deten Informationsubertragungssystem, wobei die trag- 
bare Datentragereinheit mit einem Wertespeicher und 
einer dieser zugeordneten Kontrolleinheit gebildet ist, 
anzugeben, das mit geringem Aufwand durchfuhrbar ist 

20 Die Aufgabe wird gelost durch ein Verfahren gemaB 
dem Anspruch 1. Vorteilhafte Weiterbildungen der Er- 
findung sind in den Unteranspruchen angegeben. 

In erfindungsgemaBer Weise ist die tragbare Daten- 
trageranordnung auBer mit einem Wertespeicher und 

25 einer diesem zugeordneten Kontrolieinrichtung auch 
mit einem begrenzbaren Fehlerzahler gebildet, dessen 
Zahlerstand schreib- und loschbar nicht fliichtig in 
EEPROM-Speicherzellen abgelegt ist 
Vor jedem Authentifizierungsvorgang wird der Feh- 

30 lerzahlerstand inkremental durch einen Programmier- 
vorgang verandert, wobei es durch die Begrenzung der 
Anzahl der Authentifizierungsvorgange nicht mdglich 
ist, den Algorithmus oder den geheimen Schlussel, mit 
denen die Authentifikationsparameter aus den Challen- 

35 ge-Daten berechnet werden, zu ermitteln. AuBerdem 
wird vor jedem Authentifizierungsvorgang eine Sperre 
in der tragbaren Datentrageranordnung eingerichtet 
die nur durch eine Veranderung des Fehlerzahlerstands 
aufgehoben werden kann. Auf diese Weise wird sicher- 

40 gestellt, daB jeder Authentifizierungsvorgang gezahlt* 
wird. Die Sperre kann beispielsweise ein logischer Zu- 
stand in einer bestimmten Speicherzelle sein. 

Ein Wiederaufladen des Wertespeicher in der tragba- 
ren Datentrageranordnung ist auf erfindungsgem^Be 

45 Weise nur mdglich, wenn sich das Endgerat durch den- 
selben geheimen Schlussel und denselben Algorithmus 
mit denen die Authentifikationsparameter aus den Chal- 
lenge-Daten berechnet worden sind, authentifiziert hat 
Es ist vorteilhaft, wenn bei der Berechnung der Au- 

50 themifikationsparameter neben den Challenge- Daten 
und dem geheimen Schlussel weitere Daten einbezogen 
werden. Die Abhangigkeit der Response auch vom 
Stand des Fehlerzahlers, vom jeweiligen Inhalt des wie- 
der aufzuladenden Speichers oder von Identifikations- 

55 daten des tragbaren Datentragers erschwert die miB- 
brauchliche Analyse des gesamten Wiederaufladevor- 
gangs zusatzlich. 

In vorteilhafter Weiterbildung der Erfindung wird vor 
oder mit dem Wiederaufladen des Wertespeichers der 

60 Fehlerzahler ruckgesetzt 

Eine hohere Sicherheit wird erreicht, wenn im Falle, 
daB der Fehlerzahler vor dem Wiederaufladen des Wer- 
tespeichers ruckgesetzt wurde, aus den Challenge-Da- 
ten mittels eines zweiten Algorithmus, weiterer gehei- 

65 mer Schlusseldaten und/oder weiterer sonstiger Daten 
des tragbaren Datentragers weitere Authentifikations- 
parameter ermittelt und miteinander verglichen wer- 
den. 
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In weiterer Ausbildung der Erfindung kann auch vor- 
gesehen werden, daB sich vor einer Authentifizierung 
des Endgerats gegenuber der tragbaren Datentrageran- 
ordnung, diese sich gegenuber dem Endgerat rnittels 
desselben Vorgangs authentifizieren muB. Zu diesem 5 
Zweck ubertragt die tragbare Datentrageranordnung 
die ermittelten Authentifikationsparameter als Respon- 
se zu dem Endgerat, wo sie dann mit den dort ermittel- 
ten Authentifikationsparametern vergiichen werden. 
Erst nach Obereinstimmung der jeweiligen Authentifi- 10 
kationsparameter wird die Authentifizierung des End- 
gerats beziiglich der Berechtigung fur das Rucksetzen 
des Fehlerzahlers und/oder des Wiederaufladens des 
Wertespeichers durchgefuhrt Falls sich die tragbare 
Datentrageranordnung nicht authentifizieren kann, 15 
wird der Vorgang sofort abgebrochen. 

Es ist hinsichtlich der Sicherheit des Authentifizie- 
rungsvorgangs vorteilhaft, wenn mit jedem einzelnen 
Authentifizierungsvorgang neue Challenge-Daten von 
dem Endgerat zur tragbaren Datentrageranordnung 20 
ubermittelt werden. Eine weitere Erhohung der Sicher- 
heit wird erreicht, wenn bei jedem Authentifizierungs- 
vorgang ein neuer geheimer Schliissel und/oder ein neu- 
er Algorithmus verwendet werden. 

Damit im Endgerat nicht eine Vielzahl von geheimen 25 
Schliisseln abgespeichert sein miissen, werden die in der 
jeweiligen tragbaren Datentrageranordnung gespei- 
cherten geheimen Schlusseidaten verschliisselt als Iden- 
tifikationsdaten vom Endgerat aus der tragbaren Da- 
tentrageranordnung gelesen und im Endgerat rnittels 30 
eines weiteren geheimen Schliissel entschlusselt, so daB 
dann sowohl in der jeweiligen tragbaren Datentrager- 
anordnung als auch im Endgerat derselbe geheime 
Schliissel vorliegt 

Die Erfindung wird nachfolgend anhand eines Aus- 35 
fiihrungsbeispiels rnittels einer Figur naher erlautert Es 
zeigt dabei die 

Figur ein Ablaufdiagramm eines erfindungsgemaBen 
Verfahrens. 

Der Ablauf in der tragbaren Datentrageranordnung 40 
ist in der linken Halfte und der Ablauf im Endgerat in 
der rechten Halfte der Figur dargestellt In einem ersten 
Schritt werden einerseits die Sperre eingerichtet, was 
beispielsweise durch ein Reset-Signal fur den in der 
tragbaren Datentrageranordnung enthaltenen Halblei- 45 
terchip erfolgen kann, und andererseits werden die Kar- 
tenidentifikationsdaten CID vom Endgerat aus der trag- 
baren Datentrageranordnung gelesen. Diese werden 
dann rnittels eines weiteren geheimen Schliissels KEY 
und eines dazugehorenden Algorithmus f zu einem ge- 50 
heimen Schlussel KEY' entschlusselt. Dieser geheime 
Schliissel KEY' ist auch in der tragbaren Datentrager- 
anordnung enthalten. 

In einem zweiten Schritt wird der Fehlerzahler FZ in 
der tragbaren Datentrageranordnung inkremental er- 55 
hdht oder erniedrigt Durch die Anzahl der moglichen 
Zahlschritte ist die maximale Anzahl der Authentifika- 
tionsvorgange beschrankt, so daB das Errnitteln des ge- 
heimen Schlussels KEY' durch viele Versuche nicht 
mdgiich ist Durch das Verandern des Fehlerzahler- eo 
stands wird die Sperre aufgehoben, so daB in der tragba- 
ren Datentrageranordnung die Durchfuhrung von Ope- 
rationen mdgiich wird. 

In einem dritten Schritt wird zunachst eine erste Zu- 
fallszahl RANDOM 1 als Challenge vom Endgerat zur 65 
tragbaren Datentrageranordnung ubermittelt. Dann 
werden in der tragbaren Datentrageranordnung diese 
Challenge rnittels des geheimen Schlussels KEY', und 
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eines Algorithmus f , zu Authentifikationsparametern 
API verarbeitet, und als Response-Daten zum Endgerat 
ubermittelt Dort werden sie mit ebenfalls aus der Zu- 
faliszahl RANDOM 1, dem geheimen Schlussel KEY' 
und dem Algorithmus f ermittelten Authentifikations- 
parametern AP2 vergiichen. Bei Obereinstimmung wird 
die tragbare Datentrageranordnung als gultig erkannt 
und der Authentifikations vorgang wird fortgesetzt Ist 
keine Obereinstimmung gegeben, so muB der Vorgang 
von vorne begonnen werden, soweit der Fehlerzahler 
FZ dies zulaBt 

Bei Oberstimmung wird in einem vierten Schritt eine 
weitere Zufallszahl RANDOM 2 als weitere Challenge 
vom Endgerat an die tragbare Datentrageranordnung 
ubermittelt Diese wird wiederum rnittels des geheimen 
Schlussels KEY' und des Algorithmus P, sowohl in der 
tragbaren Datentrageranordnung zu Authentifikations- 
parametern AP4 als auch im Endgerat zu Authentifika- 
tionsparametern AP3 verarbeitet Die Authentifika- 
tionsparameter AP3 des Endgerats werden dann als Re- 
sponse zur tragbaren Datentrageranordnung Ubermit- 
telt, wo sie mit den dortigen Authentifikationsparame- 
tern AP4 vergiichen werden. Bei Obereinstimmung hat 
sich das Endgerat gegenuber der tragbaren Datentra- 
geranordnung als berechtigt authentifiziert, sowohl den 
Fehlerzahler FZ rucksetzen zu durfen als auch den Wer- 
tespeicher wieder auf laden zu durfen. 

Es ware auch mdgiich und wurde zu noch groBerer 
Sicherheit fuhren, wenn vor dem Wiederaufladen des 
Wertespeichers ein weiterer Authentifizierungsvorgang 
mit einem weiteren Algorithmus stattfinden wurde. Es 
konnte dazu auch eine andere Zufallszahl erzeugt und 
als Challenge zur tragbaren Datentrageranordnung 
ubermittelt werden. 

Durch das erfindungsgemaBe Verfahren ist ein hohes 
MaB an Sicherheit beziiglich des Schutzes vor Manipu- 
lation gegeben, da sich sowohl die tragbare Datentra- 
geranordnung als auch das Endgerat jeweils gegenuber 
dem anderen Systemteil authentifizieren miissen und 
ein Errnitteln der verwendeten Algorithmen und gehei- 
men Schlussel durch mehrfaches Probieren nicht mdg- 
iich ist, da einerseits nur eine durch den Fehlerzahler FZ 
begrenzte Anzahl von Versuchen erlaubt ist, und ande- 
rerseits innerhalb dieser Anzahl von Versuchen ein 
Ruckrechnen rnittels der Challenge- und der Response- 
Daten nicht mdgiich ist 

Patentanspruche 

1. Verfahren zur Authentifizierung eines System- 
teils durch ein anderes Systemteil nach dem Chal- 
lenge-and- Response- Prinzip bei einem mit einem 
Endgerat und einer tragbaren Datentrageranord- 
nung gebildeten Informationsubertragungssystem, 
wobei die tragbare Datentrageranordnung mit ei- 
nem Wertespeicher und einer diesem zugeordne- 
ten Kontrolleinrichtung, einem begrenzbaren, 
nichtfluchtigen Fehlerzahler (FZ) sowie einer 
Sperrvorrichtung gebildet ist, mit folgenden Schrit- 
ten: 

— in der tragbaren Datentrageranordnung 
wird eine Sperre fur das Durchfuhren von Re- 
chenoperationen eingerichtet, die nur durch 
Verandern des Fehlerzahlerstandes aufgeho- 
ben werden kann, 

— der Fehlerzahlerstand wird durch einen 
Programmiervorgang verandert, wodurch die 
Sperre aufgehoben wird, 
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— von dem Endgerat werden Zufallsdaten 
(RANDOM 1; RANDOM 2) als Challenge zur 
tragbaren Datentrageranordnung ubertragen, 

— sowohl im Endgerat als auch in der tragba- 
ren Datentrageranordnung werden aus der 
Challenge (RANDOM 1; RANDOM 2) mit 
Hilfe zurnindest elnes ersten Algorithm us (P) 
sowie geheimer Schlusseldaten (KEY') jeweils 
Authentifikationsparameter (AP3, AP4) be- 
rechnet 

— das Endgerat ubertragt seine Authentifika- 
tionsparameter (AP3) als Response zur trag- 
baren Datentrageranordnung, wo sie mit den 
dort berechneten Authentifikationsparame- 
tern (AP4) verglichen werden, 

— bei Obereinstimmung der jeweiligen Au- 
thentifikationsparameter (AP3, AP4) wird die 
Sperrvorrichtung deaktiviert, so daB der Wer- 
tespeicher von dem Endgerat wieder auflad- 
bar ist 

2. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daB der Wertespeicher von dem Endgerat 
wieder aufgeladen wird. 

3. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daB gleichzeitig mit dem Wiederaufiaden 
des Wertespeichers der Fehlerzahler (FZ) riickge- 
setzt wird. 

4. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daB vor dem Wiederaufiaden des Werte- 
speichers der Fehlerzahler (FZ) riickgesetzt wird. 

5. Verfahren nach Anspruch 3, dadurch gekenn- 
zeichnet, 

— daB nach dem Riicksetzen des Fehlerzah- 
lers (FZ) sowohl im Endgerat als auch in der 
tragbaren Datentrageranordnung aus der 35 
Challenge (RANDOM 1; RANDOM 2) mit 
Hilfe zurnindest eines zweiten Algorithrnus so- 
wie der geheimen Schlusseldaten (KEY') je- 
weils weitere Authentifikationsparameter be- 
rechnet werden, 

— daB das Endgerat seine weiteren Authentifi- 
kationsparameter als Response zur tragbaren 
Datentrageranordnung ubertragt, wo sie mit 
den dort berechneten weiteren Authentifika- 
tionsparametern verglichen werden, und 

— daB erst bei Obereinstimmung der jeweili- 
gen weiteren Authentifikationsparameter der 
Wertespeicher von dem Endgerat wieder auf- 
geladen wird. 

6. Verfahren nach einem der vorhergehenden An- 
sprOche, dadurch gekennzeichnet, daB gleichzeitig 
mit dem Wiederaufiaden des Wertespeichers ein 
weiterer Wertespeicher entsprechend dem vorhe- 
rigen Wertestand des Wertespeichers umgeladen 
wird 

7. Verfahren nach einem der vorhergehenden An- 
spruche, dadurch gekennzeichnet, 

— daB vor der Obertragung der Authentifika- 
tionsparameter (AP3) des Endgerats zur trag- 
baren Datentrageranordnung die tragbare so 
Datentrageranordnung ihre Authentifika- 
tionsparameter (API) als Response zum End- 
gerat ubertragt, wo sie mit den dort berechne- 
ten Authentifikationsparametern (AP2) vergli- 
chen werden, und 

— daB erst nach einem positiven Vergleichser- 
gebnis weitere Operationen moglich sind 

8. Verfahren nach einem der vorhergehenden An- 
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spriiche, dadurch gekennzeichnet, daB vor jeder 
Berechnung von Authentifikationsparametern 
(API, AP2, AP3, AP4) neue Zufallsdaten (RAN- 
DOM 1; RANDOM 2) als jeweils neue Challenge 
vom Endgerat zur tragbaren Datentrageranord- 
nung ubertragen werden. 

9. Verfahren nach einem der vorhergehenden An- 
spruche, dadurch gekennzeichnet, daB fur jeden 
Authentifikationsvorgang neue geheime Schlussel- 
daten verwendet werden. 

10. Verfahren nach einem der vorhergehenden An- 
spriiche, dadurch gekennzeichnet, daB fur jeden 
Authentifikationsvorgang ein neuer Algorithrnus 
verwendet wird. 

11. Verfahren nach einem der vorhergehenden An- 
spruche, dadurch gekennzeichnet, daB das Endge- 
rat Identifikationsdaten (CID) aus der tragbaren 
Datentrageranordnung liest und daraus den oder 
die geheimen Schlussel (KEY') berechnet, der oder 
die auch in der tragbaren Datentrageranordnung 
zur Verf ugung stent oder stehen. 
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